トップ > 情報漏えい・インシデント > Timehopで2100万件の個人情報漏洩。迅速なインシデント対応で「思い出」は死守。

Timehopで2100万件の個人情報漏洩。迅速なインシデント対応で「思い出」は死守。

情報漏えい・インシデント

f:id:nanashi0x:20180709200937j:plain

 

ソーシャルメディアアプリ『Timehop』がハッキング被害に遭い、2100万人以上のユーザーの個人情報が漏洩した。

このインシデントに関してだが、大規模なユーザーデータが漏洩したものの、個人的にはTimehop社のインシデント対応が迅速に行われたと感じている。

日本のセキュリティニュースメディアでは、インシデントの規模に関しての解説がなされているが、現段階ではTimehop社のインシデント対応の迅速さを取り上げた記事は見られない。

そこで、今回Timehopを襲ったインシデントに関して、Timehop社が公表したレポートの内容をベースにして、以下の3点に絞って解説する。

 

  • インシデントのタイムライン
  • インシデントの影響範囲
  • Timehopのインシデント・レスポンス

 

それでは参りましょう!

 

そもそもTimehopとは

f:id:nanashi0x:20180710180152p:image

Timehop​と​は、iPhoneFacebookInstagramTwitterなどのSNSから、ユーザーが過去に投稿した情報を収集するアプリだ。

利用ユーザーが「自分は1年前この日に何をしていたのか?」を知れる「デジタルタイムマシン」として人気を博している。

Timehop

 

漏洩した情報について

漏洩した情報

攻撃者が実際に盗み出した情報は以下。

  • ユーザーの氏名
  • 電子メールアドレス
  • 約470万の電話番号
  • 認証トーク

盗まれた個人情報の件数は、なんと2100万件にも及んでいる。

認証トークンは漏洩

しかし、Timehop社がウェブサイトに掲載したインシデントレポートには、以下のように記載されている。

ユーザーの個人情報データは盗まれ、ソーシャルメディアOAuth2トークンも侵害されてしまった。 

さらに攻撃者は、ソーシャルメディアの投稿や画像にアクセスするために、他のソーシャルネットワーキングサイトからTimehop​​に提供された認証トークン(キー)を手に入れた。

認証トークンを使うことで、攻撃者はユーザーの許可なくFacebookや他のソーシャルネットワーク上の投稿の一部を読むことが出来てしまう。

「思い出」は無事

Timehop社の公表によれば「今回のインシデントはユーザーの“メモリー(※思い出)”は漏洩していない」と記載がされている。

Timehopの主要サービスであるユーザーのSNSへの過去の投稿内容は無事だったのは「不幸中の幸い」といえるだろう。

 

インシデントのタイムライン

ここからは本題となるTImehopのインシデント対応に関して触れていく。

まずは、2フェーズに分かれていた攻撃をタイムラインを紹介したい。

 

2017年12月19日:偵察、潜伏(管理者ユーザーによる不正ログイン)

攻撃者と思われる何者かによって、Timehop社に対して偵察が行われたのは昨年2017年の12月19日の事だった。

12月19日、管理権限を有するアカウントを用いて、Timehopが所有するクラウドプロバイダ(ベンダ名は不明)にログインが行われた。

不正アクセスを行った何者かは新たに管理権限を有するアカウントを作成。

その後同一人物と思われるユーザーがログインを行ったのは、12月19日から2日間と、2018年3月の某日であると公表されている。

 

2018年7月4日未明:攻撃(データベースへの攻撃とデータ転送)

2時43分(アメリ東海岸時間):攻撃検知

Timehopのエンジニアが攻撃者による攻撃を検知し、アラートが上がる。調査開始。

4時23分:緊急処置

Timehopのエンジニアによる緊急処置の実施。

アカウント侵害の被害にあったクラウドコンピューティング環境を切り離した。

さらに、攻撃者から認証トークンを盗まれた為、即座に認証トークンをすべて無効化した。

認証トークンが窃取されたものの、プライベート/ダイレクトメッセージ、財務データ、ソーシャルメディアと写真コンテンツを含むその他のTimehop​​データへの影響はないと公表している。

実際に、Timehopユーザーのいかなるアカウントにおいて、不正にユーザーのSNSへアクセスされた証拠は現段階でも確認されていない。

 

教訓:多要素認証の欠如によるデータ侵害

今回のハッキングは、当社のクラウドコンピューティング環境へのアクセス認識情報が盗まれた事が原因で発生した。

実はTimehopはクラウドコンピューティング環境の管理画面に入る際、多要素認証ログインを設定していなかったようだ。

インシデント発生を踏まえて、全ての環境の管理者ログインのために多要素認証を設定したと公表している。

Timehop​​のエンジニアがネットワーク侵害を特定した同日、プロジェクトのリポジトリとページの内容を悪意のあるものに置き換えることができるGentoo GitHubアカウントが不正アクセスされレポジトリが書き換えられるインシデントが発生している。

Gentoo LinuxのGitHubアカウント乗っ取り原因は「パスワード推測」 - 忙しい人のためのサイバーセキュリティニュース

GentooにおけるインシデントもGithubアカウントの2要素認証(2FA)が設定されていなかった事が原因だった。

つまり、TimehopはGentooで発生したインシデントと全く同じ手法でTimehopのセキュリティが破られてしまったのだ。

同社はまた、ユーザーに対する違反の影響を最小限に抑えるため、セキュリティ専門家やインシデント対応専門家、地方および連邦の法執行期間、ソーシャルメディアプロバイダと協力して波及調査と原因究明に努めている。

 

参考資料

Timehop Hacked — Hackers Stole Personal Data Of All 21 Million Users

Security — Timehop

Security - Technical — Timehop

 

Ichi (@0x31_nose)

nanashi0x 読者になる

広告を非表示にする
関連記事

追伸

本日も最後までお読み下さりありがとうございました。

こちらからTwitter上でフォローして頂きますと、最新のセキュリティニュースに触れる事が出来ます。

この記事が気に入ったら
フォロー・購読をお願いします。

読者登録で最新情報をお届けします

コメントを書く